ISO 27001:2022 Vedlegg A Kontroll 5.1

Retningslinjer for informasjonssikkerhet

Bestill en demonstrasjon

virksomhet,mann,bruker,mobil,smart,telefon,,opptatt,arbeid,på,bærbar datamaskin

Som en del av ISO 27001:2022 spesifiserer vedlegg A 5.1 at organisasjoner må ha en informasjonssikkerhet policydokument på plass. Dette er å beskytte seg mot trusler mot informasjonssikkerhet.

Forretningsbehov, så vel som gjeldende forskrifter og lovverk, må vurderes ved utvikling av retningslinjer.

Et policydokument for informasjonssikkerhet er i hovedsak et kompendium av vedlegg A kontroller som forsterker organisasjonens sentrale uttalelser om sikkerhet og gjør dem tilgjengelige for interessenter.

I 2022-versjonen av standarden bør retningslinjer også inkluderes i utdannings-, opplærings- og bevisstgjøringsprogrammet, som beskrevet i People Controls A.6.3.

Organisasjonspolicyer spesifiserer prinsippene som medlemmer og sentrale parter som leverandører må følge. Disse retningslinjene bør gjennomgås regelmessig og oppdateres etter behov.

Hva er retningslinjer for informasjonssikkerhet?

An informasjonssikkerhetspolitikk har som mål å gi ansatte, ledelse og eksterne parter (f.eks. kunder og leverandører) et rammeverk for å administrere elektronisk informasjon, inkludert datanettverk.

En sikkerhetspolicy skal defineres, godkjennes av ledelsen, publiseres og kommuniseres til ansatte og relevante eksterne parter.

I tillegg til å redusere risikoen for tap av data på grunn av interne og eksterne trusler, retningslinjer for informasjonssikkerhet sikrer at alle ansatte forstår sin rolle i å beskytte organisasjonens data.

I tillegg til å møte standarder som f.eks ISO 27001, kan en informasjonssikkerhetspolicy også demonstrere overholdelse av lover og forskrifter.

Informasjonssikkerhetstrusler og cybersikkerhet forklart

Cyber ​​sikkerhet trusler inkluderer bedriftsspioner og hacktivister, terrorgrupper, fiendtlige nasjonalstater og kriminelle organisasjoner. Disse truslene søker å få ulovlig tilgang til data, forstyrre digitale operasjoner eller skade informasjon.

Trusler mot cybersikkerhet og informasjonssikkerhet inkluderer:

  • Virus, spionprogrammer og andre skadelige programmer regnes som skadelig programvare.

  • En e-post som ser ut til å være fra en pålitelig kilde, men som inneholder lenker og vedlegg som installerer skadelig programvare på datamaskinen din.

  • Virus hindrer brukere i å få tilgang til dataene deres før de betaler løsepenger.

  • Prosessen med å manipulere folk til å røpe sensitiv informasjon er kjent som sosial ingeniørkunst.

  • Phishing-e-poster som ser ut til å komme fra høyprofilerte personer i en organisasjon er kjent som hvalangrep.
Gå til emnet
Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Hvordan fungerer ISO 27001:2022 vedlegg A 5.1?

Informasjonssikkerhetspolicyer er utformet for å beskytte bedriftens sensitive informasjon mot tyveri og uautorisert tilgang.

In i samsvar med ISO 27001, Vedleggskontroll A 5.1 veileder formålet og gjennomføringen av å etablere en informasjonssikkerhetspolicy i en organisasjon.

En overordnet informasjonssikkerhetspolicy kreves av Vedlegg A Kontroll 5.1 for organisasjoner til å administrere sin informasjonssikkerhet. Ledelsen skal godkjenne retningslinjene, som skal gjennomgås jevnlig dersom det skjer endringer i informasjonssikkerhetsmiljøet.

Den hensiktsmessige tilnærmingen er å møtes regelmessig, minst en gang i måneden, med ekstra møter etter behov. I tillegg til å dele retningslinjer med interne og eksterne interessenter, må ledelsen godkjenne eventuelle endringer før de implementeres.

Komme i gang og oppfylle kravene i vedlegg A 5.1

A detaljert operasjonsprosedyre som beskriver hvordan informasjonssikkerhetspolicyen skal implementeres bør være basert på og støttet av en informasjonssikkerhetspolicy.

Politikken bør godkjennes av topp ledelse og kommunisert til ansatte og interesserte.

I tillegg til å gi retning til organisasjonens tilnærming for å administrere informasjonssikkerhet, kan policyen brukes til å utvikle mer detaljerte driftsprosedyrer.

Som påkrevd av ISO/IEC 27000 standarder, er en policy avgjørende for å etablere og vedlikeholde et styringssystem for informasjonssikkerhet (ISMS). En veldefinert policy forblir kritisk selv om organisasjonen ikke har til hensikt å gjøre det implementere ISO 27001 eller annen formell sertifisering.

Retningslinjer for informasjonssikkerhet bør gjennomgås regelmessig for å sikre fortsatt egnethet, tilstrekkelighet og effektivitet.

Når det gjøres endringer i virksomheten, dens risikoer, teknologi, lovverk eller forskrifter, eller hvis sikkerhetssvakheter, hendelser eller hendelser indikerer at det er behov for endringer i retningslinjene.

Hva er endringene og forskjellene fra ISO 27001:2013?

Som en del av ISO 27001 revisjon 2013, slår denne kontrollen sammen vedlegg A kontroller 5.1.1 Retningslinjer for informasjonssikkerhet og 5.1.2 Gjennomgang av retningslinjer for informasjonssikkerhet.

Vedlegg A-kontroll 5.1 tommer ISO 27001:2022 er oppdatert med en beskrivelse av formålet og utvidet implementeringsveiledning, samt en attributttabell som lar brukere forene Annex A-kontroller med bransjeterminologi.

I henhold til vedlegg A 5.1 bør informasjonssikkerhet og emnespesifikke retningslinjer defineres, godkjennes av ledelsen, publiseres, kommuniseres til og anerkjennes av det aktuelle personalet.

En organisasjons informasjonssikkerhetspolicy bør vurdere størrelsen, typen og sensitiviteten til informasjonsmidler, industristandarder og gjeldende myndighetskrav.

I henhold til punkt 5.1.2 i ISO 27001:2013 er formålet med vedlegg A å sikre at informasjonssikkerhetspolicyer jevnlig blir evaluert dersom endringer i informasjonssikkerhetsmiljøet oppstår.

I henhold til ISO 27001: 2013 og ISO 27001: 2022 bør toppledelsen utvikle en sikkerhetspolicy som er godkjent av toppledelsen og beskriver hvordan organisasjonen skal beskytte sine data. Likevel dekker begge versjonene av forsikringene ulike krav.

Sammenlignende analyse av vedlegg A 5.1 Retningslinjer for implementering

I henhold til ISO 27001:2013 bør retningslinjer for informasjonssikkerhet dekke følgende krav:

  • Forretningsstrategien.

  • Kontrakter, forskrifter og lovverk.

  • En beskrivelse av gjeldende og anslått trusselmiljø for informasjonssikkerhet.

Retningslinjer for informasjonssikkerhet bør inneholde følgende utsagn:

  • Alle aktiviteter vedr informasjonssikkerhet bør veiledes ved en definisjon av informasjonssikkerhet, mål og prinsipper.

  • Styringsansvar for informasjonssikkerhet er tildelt definerte roller på en generell og spesifikk måte.

  • Prosessen for håndtering av avvik og unntak.

I motsetning til dette har ISO 27001:2022 mer omfattende krav.

Som en del av informasjonssikkerhetspolicyen bør følgende krav tas i betraktning:

  • Strategi og krav til virksomheten.

  • Lovverk, forskrifter og kontrakter.

  • Informasjonssikkerhetsrisikoer og trusler som eksisterer i dag og i fremtiden.

Uttalelser om følgende bør inkluderes i informasjonssikkerhetspolicyen:

  • Definisjon av informasjonssikkerhet.

  • Et rammeverk for å etablere informasjonssikkerhetsmål.

  • Informasjonssikkerhetsprinsipper bør lede alle aktiviteter.

  • En forpliktelse til å overholde alle gjeldende informasjonssikkerhetskrav.

  • En pågående forpliktelse til å forbedre styringssystem for informasjonssikkerhet.

  • Rollebasert tildeling av ansvar for styring av informasjonssikkerhet.

  • Unntak og unntak håndteres i henhold til disse prosedyrene.

I tillegg ble ISO 27001:2022 revidert for å inkludere emnespesifikke retningslinjer for informasjonssikkerhetshendelse, ressursforvaltning, nettverkssikkerhet, hendelseshåndtering og sikker utvikling som emnespesifikke retningslinjer. For å skape et mer helhetlig rammeverk ble noen av kravene i ISO 27001:2013 fjernet eller slått sammen.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.Online hjelper

Med ISMS.online, vil du ha tilgang til et komplett sett med verktøy og ressurser for å hjelpe deg med å administrere ditt eget ISO 27001 Information Security Management System (ISMS), enten du er nykommer eller allerede sertifisert.

I tillegg tilbyr ISMS.online automatiserte prosesser for å forenkle hele gjennomgangsprosessen. Disse prosessene sparer betydelige mengder admintid sammenlignet med andre arbeidsmetoder.

Du vil få et forsprang med ISO 27001-policyer og kontroller fra ISMS.online.

Intuitive arbeidsflyter, verktøy, rammeverk, retningslinjer og kontroller, handlingskraftig dokumentasjon og veiledning, samt handlingsdyktig veiledning gjør det enkelt å implementere ISO 27001 ved å definere omfanget, identifisere risikoer og implementere kontroller basert på våre algoritmer – enten de er laget fra bunnen av eller basert på maler for beste praksis i bransjen.

Kontakt oss i dag for planlegg en demonstrasjon.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Metode for sikrede resultater
100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer